BSI Standards

Die BSI-Standards sind ein elementarer Bestandteil der IT-Grundschutz-Methodik. Sie enthalten Empfehlungen zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen zu unterschiedlichen Aspekten der Informationssicherheit. Anwender aus Behörden und Unternehmen sowie Hersteller oder Dienstleister können mit den BSI-Standards ihre Geschäftsprozesse und Daten sicherer gestalten. Die BSI-Standards 200-1, 200-2 und 200-3 lösen seit Oktober 2017 die BSI-Standards der Reihe 100-x ab. Der BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Er ist weiterhin kompatibel zum ISO-Standard 27001 und berücksichtigt die Empfehlungen der anderen ISO-Standards wie beispielsweise ISO 27002. Der BSI-Standard 200-2 bildet die Basis der bewährten BSI-Methodik zum Aufbau eines soliden Informationssicherheitsmanagements (ISMS). Er etabliert drei neue Vorgehensweisen bei der Umsetzung des IT-Grundschutzes. Aufgrund der ähnlichen Struktur der beiden Standards 200-1 und 200-2 können Anwender sich gut in beiden Dokumenten zurechtfinden. Der BSI-Standard 200-3 beinhaltet erstmals gebündelt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes. Der Vorteil für die Anwender ist ein deutlich reduzierter Aufwand, um ein angestrebtes Sicherheitsniveau zu erreichen. Der Standard bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit der IT-Grundschutz-Methodik arbeiten und möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten. Der modernisierte BSI-Standard 200-4 gibt eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufzubauen und zu etablieren. Die Umstellung auf den modernisierten IT-Grundschutz hat Auswirkungen auf ein Managementsystem für Informationssicherheit (ISMS), das nach der bisherigen IT-Grundschutz-Methode gemäß BSI-Standard BSI 100-2 und den IT-Grundschutz-Katalogen aufgebaut ist. Damit betrifft die Umstellung vor allem zertifizierte und nicht-zertifizierte Institutionen. Den IT-Grundschutz-Anwendern stellt das BSI zur erfolgreichen Migration eine „Anleitung zur Migration von Sicherheitskonzepten“ zur Verfügung. Anhand dieser und der darüber hinaus veröffentlichten Migrationstabellen können Anwender bestehende Sicherheitskonzepte auf der Basis des „alten“ IT-Grundschutzes effektiv auf den modernisierten IT-Grundschutz migrieren.